Populaarne sisuhaldusplatvorm WordPress avaldas 10.–11. märtsil 2026 lühikese aja jooksul koguni kolm tarkvaraversiooni. Kahe päeva jooksul ilmusid versioonid 6.9.2, 6.9.3 ja 6.9.4, mis keskendusid peamiselt turvaparandustele ning kiiretele veaparandustele.
Esimene uuendus: 6.9.2 parandab kümme turvaprobleemi
10. märtsil avaldatud WordPress 6.9.2 oli eelkõige turvauuendus. Arendajad lahendasid selles versioonis 10 erinevat turvaprobleemi, mis võisid teatud olukordades võimaldada ründajatel veebilehti rünnata või nende toimimist häirida.
Parandatud probleemide hulgas olid näiteks:
- Blind SSRF (server-side request forgery) haavatavus, mis võis võimaldada ründajal panna serverit tegema soovimatuid päringuid.
- PoP-chain nõrkus HTML API ja plokkide registris, mis võis võimaldada keerukamate rünnakute läbiviimist.
- Regex-põhine DoS-riski nõrkus numbriliste märkide töötlemisel.
- Mitmed XSS-haavatavused, sealhulgas navigeerimismenüüdes ning administraatori poolel kasutatavates mallides.
- Autoriseerimisest möödahiilimise võimalus meediamanuste päringutes.
- Failitee manipulatsiooni (path traversal) probleem PclZip teegis.
- XXE-haavatavus välises meediaanalüüsi teegis getID3.
Turvaparanduste leidmisse ja raporteerimisse panustasid mitmed turvauurijad ning ka WordPressi turvatiim, kes koordineeris ka parandusi väliste teekide arendajatega. Parandused lubati tagasiportida ka vanematele WordPressi versioonidele, mis endiselt saavad turvauuendusi.
Kiire veaparandus: 6.9.3
Vahetult pärast versiooni 6.9.2 avaldamist teatasid mõned kasutajad probleemist, mille tõttu muutus osa veebilehtede esilehest pärast uuendamist tühjaks.
Uurimise käigus selgus, et probleem oli seotud teatud teemadega, mis laadisid mallifaile ebatavalise meetodi abil. Nimelt kasutasid mõned teemad failiteede määramiseks niinimetatud stringable objects-lahendust, kuigi WordPressi ametlik filtrisüsteem eeldab lihtsat tekstilist failiteed.
Kuigi selline meetod ei olnud ametlikult toetatud, otsustas arendajate turvatiim probleemiga kiiresti tegeleda, et vältida veebilehtede töö häirimist. Selle tulemusena avaldati samal päeval uus versioon WordPress 6.9.3, mis parandas mallifailide laadimisega seotud vea.
Kolmas uuendus: 6.9.4 täiendab turvaparandusi
Eile, 11. märtsil ilmus juba kolmas värskendus, WordPress 6.9.4. Selle põhjuseks oli arendajate avastus, et kõik turvaparandused ei olnud varasemates versioonides täielikult rakendunud.
Versioon 6.9.4 sisaldab täiendavaid parandusi, mis lahendavad muu hulgas:
- PclZip teegiga seotud failitee manipulatsiooni probleemi,
- autoriseerimisest möödahiilimise vea märkmete funktsioonis,
- ning XXE-haavatavuse välises getID3 teegis.
Arendajad tänasid turvauurijaid ja kogukonna liikmeid, kes aitasid probleemid tuvastada ning parandusi testida.
Kasutajatel soovitatakse kohe uuendada
Kuna kõik kolm värskendust on seotud turvalisusega, soovitavad arendajad veebilehtede haldajatel paigaldada uusima versiooni võimalikult kiiresti. Paljudel veebilehtedel toimub uuendamine automaatselt, kui on lubatud taustal toimuvad automaatsed värskendused.
WordPress järgmine suurem versioon, 7.0, on arendusplaani kohaselt kavandatud avaldada 9. aprillil 2026.
